[求助]我的服务器今天被黑客植入一个很牛的程序！-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[求助]我的服务器今天被黑客植入一个很牛的程序！

发表于: 2008-12-31 15:35 18125

[求助]我的服务器今天被黑客植入一个很牛的程序！

chalqq

2008-12-31 15:35

18125

我已经上传了附件！请各位牛人帮我分析下··运行以后要求输入用户名字和密码！不是VB写的·是Borland Delphi 6.0 - 7.0无壳！竟然在我服务器里·在服务器无意间按了5次SHIFT结果就出现了这个 ·最后终于把这个东西搞了出来了·请大家帮帮看看这个是什么·运行之后要填写的用户和密码又是什么？？？谢谢各位了！！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

发现的后门.rar （173.10kb，154次下载）
111.jpg （6.13kb，1152次下载）

收藏・7

免费・0

支持

最新回复 (32) 1 2 ▶
scgycxzzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	scgycxzzc 2 楼多半是盗取密码和用户名的 2008-12-31 16:58 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼满足以下条件好像： not(md5(name)) = 33ba444e7621f9d59a5868a6f15edc86 base64(not(md5(code))) = autm1qtm0m0m5uknxuzmbftqyyeoymurgvtqwikn2een 2008-12-31 17:18 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 4 楼据我了解，有一种后门可以在3389的登录状态按五次shift也会出来，可以绕过系统登录直接进入。 2008-12-31 17:56 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 5 楼 shift后门 LZ 搜下吧替换原sethc. exe？ 2008-12-31 19:09 0
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 6 楼卡巴、NOD、金山、瑞星、360等都被瞄准了也没测试是否爆成功，你可以测试一下。上传的附件： sethc-crack.rar （173.11kb，53次下载） 2008-12-31 19:10 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 7 楼真是这样的话，打开文件，弄个自己知道的md5填充进去就可以了吧~~~ 个人感觉，爆破应该木油问题的。 2008-12-31 21:29 0
虾米雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 165 粉丝 0 关注私信	虾米 1 8 楼好厉害， 2008-12-31 22:42 0
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 9 楼如五楼的兄弟所说，替换掉了系统 sethc.exe 。估计是留下用来加管理员帐号用的！运行之后要填写的用户和密码估计是为了只有自己才能加管理员，不是任何人都能加的！ 2008-12-31 23:34 0
ihhvqu 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ihhvqu 1 10 楼收下了留着备用!!这个东西很不错! 2009-1-1 01:05 1
古道游魂雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	古道游魂 11 楼我很菜没深入分析，我就看到Power by langya 2009-1-1 01:11 0
deersoft 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	deersoft 12 楼 shift 后门 2009-1-1 02:41 0
chalqq 雪币： 102 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	chalqq 13 楼昨天查了一下·好像这个软件很牛X·据说这个作者说如果自己的加密没人破解出用户和密码！使用说明： 1、用户名和密码均进行过不可逆式加密，如忘记只能重新生成了这个是软件的说明。很嚣张。。。竟然狂言说·这个软件没人破出来··诶···请大牛们谁破出来用户和密码发出来啊！！！ 2009-1-1 08:36 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 14 楼这种破软件SHIFT后门都是2007年用的东西了，才发现？ 2009-1-1 12:58 0
王道雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	王道 15 楼这种东西我也经常用不过爆破是肯定没有问题的密码放在本身文件里很好找的 2009-1-1 14:29 0
acpp 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	acpp 16 楼我也遇到这个问题了，一会开个帖子去 2009-1-1 15:55 0
福满天雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	福满天 17 楼很牛...3389下按5次可以跳过 2009-1-1 16:41 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 18 楼楼主用用其他的方法管理用的服务器，不要开3389 2009-1-1 19:41 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 19 楼 0045727B \|. /75 1D jnz short sethc.0045729A 0045728A \|. /75 0E jnz short sethc.0045729A 两个关键，改了就行了，出现很多信息，做的好象还不错了，呵呵 Mybr Forum (www.mybr.org) DST Forum (www.darkst.com) Power by langya Version 1.1 2008.6.30 2009-1-2 18:54 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 20 楼 MD5值查不到就没办法了可以通过爆破或是把源文件删除 X:\Windows\System32\sethc.exe 2009-1-2 22:05 0
shapaozi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	shapaozi 21 楼不是用来添加账户的，是它本身就是一个登录验证的程序，一个后门，这个软件的上传者可以通过这个程序来登录系统，从而绕过Windows的登录验证。 2009-1-6 11:19 0
jk影雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	jk影 22 楼 shift后门这是服务器的后门一般入侵者在成功后把这个程序跟sethc. exe捆绑为方便以后登陆这办法很多人知道为了防止被人利用就加了要登陆的用户名和密码其实找个干净的sethc. exe替换掉就可以了 2009-1-6 15:51 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 23 楼 SHIFT后门作者狼牙，听说过狼牙抓鸡器吗，就是他的，他一般在bbs.mybr.org和www.darkst.com上活动 2009-1-6 16:11 0
maxiu 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	maxiu 24 楼看看后门!!!!!!!!!!! 2009-1-6 16:22 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 25 楼普通的利用粘滞键的后门程序而已.......... 可以彻底关闭这个功能的 2009-1-11 12:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chalqq

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
scgycxzzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	scgycxzzc 2 楼多半是盗取密码和用户名的 2008-12-31 16:58 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼满足以下条件好像： not(md5(name)) = 33ba444e7621f9d59a5868a6f15edc86 base64(not(md5(code))) = autm1qtm0m0m5uknxuzmbftqyyeoymurgvtqwikn2een 2008-12-31 17:18 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 4 楼据我了解，有一种后门可以在3389的登录状态按五次shift也会出来，可以绕过系统登录直接进入。 2008-12-31 17:56 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 5 楼 shift后门 LZ 搜下吧替换原sethc. exe？ 2008-12-31 19:09 0
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 6 楼卡巴、NOD、金山、瑞星、360等都被瞄准了也没测试是否爆成功，你可以测试一下。上传的附件： sethc-crack.rar （173.11kb，53次下载） 2008-12-31 19:10 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 7 楼真是这样的话，打开文件，弄个自己知道的md5填充进去就可以了吧~~~ 个人感觉，爆破应该木油问题的。 2008-12-31 21:29 0
虾米雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 165 粉丝 0 关注私信	虾米 1 8 楼好厉害， 2008-12-31 22:42 0
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 9 楼如五楼的兄弟所说，替换掉了系统 sethc.exe 。估计是留下用来加管理员帐号用的！运行之后要填写的用户和密码估计是为了只有自己才能加管理员，不是任何人都能加的！ 2008-12-31 23:34 0
ihhvqu 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ihhvqu 1 10 楼收下了留着备用!!这个东西很不错! 2009-1-1 01:05 1
古道游魂雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	古道游魂 11 楼我很菜没深入分析，我就看到Power by langya 2009-1-1 01:11 0
deersoft 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	deersoft 12 楼 shift 后门 2009-1-1 02:41 0
chalqq 雪币： 102 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	chalqq 13 楼昨天查了一下·好像这个软件很牛X·据说这个作者说如果自己的加密没人破解出用户和密码！使用说明： 1、用户名和密码均进行过不可逆式加密，如忘记只能重新生成了这个是软件的说明。很嚣张。。。竟然狂言说·这个软件没人破出来··诶···请大牛们谁破出来用户和密码发出来啊！！！ 2009-1-1 08:36 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 14 楼这种破软件SHIFT后门都是2007年用的东西了，才发现？ 2009-1-1 12:58 0
王道雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	王道 15 楼这种东西我也经常用不过爆破是肯定没有问题的密码放在本身文件里很好找的 2009-1-1 14:29 0
acpp 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	acpp 16 楼我也遇到这个问题了，一会开个帖子去 2009-1-1 15:55 0
福满天雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	福满天 17 楼很牛...3389下按5次可以跳过 2009-1-1 16:41 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 18 楼楼主用用其他的方法管理用的服务器，不要开3389 2009-1-1 19:41 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 19 楼 0045727B \|. /75 1D jnz short sethc.0045729A 0045728A \|. /75 0E jnz short sethc.0045729A 两个关键，改了就行了，出现很多信息，做的好象还不错了，呵呵 Mybr Forum (www.mybr.org) DST Forum (www.darkst.com) Power by langya Version 1.1 2008.6.30 2009-1-2 18:54 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 20 楼 MD5值查不到就没办法了可以通过爆破或是把源文件删除 X:\Windows\System32\sethc.exe 2009-1-2 22:05 0
shapaozi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	shapaozi 21 楼不是用来添加账户的，是它本身就是一个登录验证的程序，一个后门，这个软件的上传者可以通过这个程序来登录系统，从而绕过Windows的登录验证。 2009-1-6 11:19 0
jk影雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	jk影 22 楼 shift后门这是服务器的后门一般入侵者在成功后把这个程序跟sethc. exe捆绑为方便以后登陆这办法很多人知道为了防止被人利用就加了要登陆的用户名和密码其实找个干净的sethc. exe替换掉就可以了 2009-1-6 15:51 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 23 楼 SHIFT后门作者狼牙，听说过狼牙抓鸡器吗，就是他的，他一般在bbs.mybr.org和www.darkst.com上活动 2009-1-6 16:11 0
maxiu 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	maxiu 24 楼看看后门!!!!!!!!!!! 2009-1-6 16:22 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 25 楼普通的利用粘滞键的后门程序而已.......... 可以彻底关闭这个功能的 2009-1-11 12:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复